Ethereal抓包工具使用方法

Ethereal 使用方法

一， 使用方法

点击Capture 菜单下的Start 。然后选择相应的参数，点击OK ！

Capture Options 选择的常见注意事项(每个选项前面的小方块，凹进去表示选中)：

1， Interface ：如果你的计算机安装了多个网卡，注意选择你想抓包的那个网卡。

2， 需要选中的选项：

Capture packets in promiscuous mode

任何流经这台主机的数据包都将被捕获，如果按钮凸起，则只能捕获从主机发送或者发向该主机的数据包。

Update list of packets in real time

是Ethereal 主界面上是否实时地显示抓包变化的选项，当选择了该项时，Ethereal 主界面上将实

时地更新抓包列表，若不显示该项，所有的包列表将在抓包过程停止以后一起显示。

Automatic Strolling in live capture

选项允许用户在抓包过程中能实时地察看新抓的数据包。

3，注意name resolution的选项不能选，否则抓包，保存，打开等过程会很慢。

“Name resolution”中有三个选项，

“Enable MAC name resolution”是否将MAC地址的前三个字节翻译成IETF所规定的厂商前缀。“Enable network name resolution”用于控制是否将IP地址解析为DNS域名。

“Enable transport name resolution”则用于控制是否将通信端口号转换为协议名称。

4，抓包时可以对所抓的包进行过滤，常用的过滤选项有：sip || mgcp，sip && h225 && h245，ip.addr == 10.11.2.9，udp.port == 1719，tcp.port == 2000等。

5，一般抓包的计算机需要与被抓的目标地址在一个HUB上，如果在一个LAN上，需要做端口镜像。运行Ethereal，选择菜单Capture－Start（或快捷键Ctrl+K），按下OK按钮即可进行报文捕捉了。

查看/保存捕捉的报文

当决定结束捕捉时，按下Stop按钮即可，这是Ethereal会对捕捉的报文进行分析，分析后的报文显示在Ethereal主界面上。保存已经捕捉到的报文，选择菜单File－Save（快捷键Ctrl＋S）即可，

过滤

捕捉时过滤

我们可能只想捕捉我们关心的报文，如某个IP地址的报文或某个端口的报文，这就需要在捕捉的时候加入过滤器，Ethereal捕捉报文时的过滤语法采用和TcpDump一样的语法。

在Capture对话框中输入过滤的语法，如下图：

举几个例子，详细语法请参考TCPDUMP的man page或到网上查询

1、捕捉某个IP的报文：host 10.11.57.14

捕捉主机10.11.57.14的报文，也就是IP的源地址或目的地址中包括10.11.57.14的报文。

2、捕捉某个端口的报文：tcp port 23 and host 10.0.0.5

捕捉TCP 23端口的报文，而且主机是10.0.0.5，如果我们想捕捉终端注册呼叫的RAS信令，可以用 udp port 1719来过滤。

显示过滤

如果抓包抓了很多，但我们只关心一部分，如果过滤掉呢，可以从主界面的下端设置过滤器

可以在输入框中输入，也可以单击Filter安装进行选择，

从上图所示的多画面中选择可能比较困难，简单介绍几种显示过滤表达式：

1、过滤某IP的报文：ip.addr == 10.11.57.123。

2、过滤IP源地址：ip.src==10.11.57.123。

3、过滤某端口：tcp.port==1720或udp.port==1719。

4、组合应用：ip.src==10.11.57.123 && tcp.port==1270，其中&&表示AND，||表示OR。